CVE-2026-42037

Name of the Vulnerable Software and Affected Versions Axios versões 1.0.0 até 1.15.0

Description O construtor FormDataPart em lib/helpers/formDataToStream.js interpola a propriedade value.type diretamente no cabeçalho Content-Type de cada parte multipart sem sanitizar sequências CRLF (retorno de carro e alimentação de linha). Um invasor que controle a propriedade .type de um objeto do tipo Blob ou File pode injetar cabeçalhos de parte MIME arbitrários no corpo do form-data multipart. Esta ação ignora as proteções de cabeçalho integradas do Node.js v18 e posteriores, pois a injeção ocorre na estrutura do corpo multipart, e não nos cabeçalhos da requisição HTTP.

Recommendations Atualizar para a versão 1.15.1.